一种加密传输装置及方法与流程

本发明属于加密通信技术领域，具体涉及一种加密传输装置及方法。

背景技术：

目前比较常用的通信加密方法是软件加密方法，软件加密就是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送，到达接收方后，由用户使用相应的解密软件进行解密并还原。采用软件加密方式有以下优点：已经存在标准的安全api(applicationprogramminginterface，应用程序编程接口)产品、实现方便、兼容性好。

但是软件加密需要将密钥存储至软件内，这就有密钥外泄的风险，进而导致信息安全无法保障。

技术实现要素：

针对现有技术的上述不足，本发明提供一种加密传输装置及方法，以解决上述技术问题。

本申请实施例提供一种加密传输装置，所述装置包括：

上位机接口、cpu和网络接口，所述上位机接口和所述网络接口均与所述cpu电连接；所述cpu存储通信密钥；所述cpu还连接内存，所述内存缓存传输数据。

在本申请的一种实施方式中，所述上位机接口包括pcie接口和usb3.0接口。

在本申请的一种实施方式中，所述网络接口包括光纤fiber接口或千兆rj45接口。

在本申请的一种实施方式中，所述网络接口包括外围网络phy电路。

在本申请的一种实施方式中，所述cpu支持国产密码算法，所述国产密码算法包括sm2算法、sm3算法、sm4算法。

本申请实施例还提供一种加密传输方法，第一上位机与第二上位机的传输链路两端分别设置有第一加密传输装置的第二加密传输装置，所述方法包括：

所述第一加密装置与所述第二加密装置建立网络连接后协定通信密钥；

所述第一加密传输装置将所述第一上位机的待发送数据加密后向所述第二上位机转发；

所述第一加密传输装置将所述第二上位机发送的加密文件解密解密后上传至所述第一上位机。

在本申请的一种实施方式中，所述方法还包括：

所述第一加密传输装置存储需要与所述第一上位机进行加密传输的第二上位机ip地址；

所述第一加密传输装置采集第一上位机的待发送数据包并读取所述待发送数据包的目标地址；

判断所述目标地址是否与预存的第二上位机ip地址一致：

若是，则对所述待发送数据包进行加密处理；

若否，则将所述待发送数据包直接转发至目标地址。

在本申请的一种实施方式中，所述方法还包括：

所述第一加密传输装置存储多个与所述第一上位机进行加密传输的目标节点地址；

所述第一加密传输装置将存储的目标节点地址与相应目标节点通信密钥建立映射关系；

所述第一加密传输装置根据接收到的加密数据源地址和所述映射关系查找相应通信密钥，并利用所述相应密钥对所述加密数据进行解密。

本发明的有益效果在于，

本发明提供的提供的加密传输装置及方法，装置接口方案灵活，产品可以用pcie卡形态部署，亦可采用usb3.0桌面设备形态部署，同时网络接口支持光纤fiber接口和千兆rj45接口，产品的适配性好，可应用在多种场景中。电路复杂度低，电路核心为国产密码算法cpu，核心技术为运行在该cpu内部的固件程序，方案成本低。硬件加密通道为硬件自处理，且硬件为标准usb网卡设备，应用方不需要关心加密算法的相关内容，应用软件不需要二次开发，通过部署该硬件，即可点对点的实现加密通信通道。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一个实施例的装置的结构示意图。

图2是本申请一个实施例的装置的加密传输示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

下面将参考附图并结合实施例来详细说明本发明。

实施例1

参考图1，本实施例提供一种加密传输装置，所述装置包括：

pcie接口、cpu和光纤fiber网络接口，pcie接口连接上位机的pcie接口实现与上位机的通信连接，光纤fiber网络接口连接以太网，其中pcie接口和光纤fiber网络接口均与cpu电连接。另外，cpu内存储通信密钥。cpu还连接内存，内存缓存需要进行加密处理的传输数据以及加密算法。

实施例2

本实施例提供一种加密传输装置，所述装置包括：

usb3.0接口、cpu和千兆rj45接口，usb3.0接口用于连接上位机，千兆rj45接口用于连接以太网，其中usb3.0接口和千兆rj45接口均与cpu电连接。另外，cpu存储通信密钥。cpu还连接内存，内存缓存需要进行加密处理的传输数据以及加密算法。

本装置在上位机中表现为一种标准的usb网卡设备，因此能实现普通千兆网卡功能；本装置支持高速国产密码算法，也可作为一款支持国产密码算法的高速密码模块。通过上述两种功能的结合，本装置可提供纯硬件层面的网络加密通信通道，整个加密过程中密钥不会出现在硬件外部，确保了通信密钥的安全性。

整个通信过程中，上位机应用无需感知加密过程。本装置可在已有系统中进行透明化部署，实现应用数据的密文网络传输。本装置的电路包括支持国产密码算法的cpu以及相应物理通信接口电路，其国产密码算法cpu支持高速sm2、sm3、sm4算法，具备usb3.0及千兆gmac接口等。本装置可直接通过usb3.0连接上位机或通过pcie转usb3.0接口电路实现采用pcie接口连接上位机。本装置的网络接口通过外围网络phy电路的配置实现对外提供光纤fiber接口或千兆rj45接口。

实施例3

参考图2，本实施例提供一种加密传输方法，以两个上位机之间进行加密通信为例，第一上位机与第二上位机的传输链路两端分别设置有第一加密传输装置的第二加密传输装置，即第一上位机与第一加密传输装置通过pcie接口连接，第二上位机与第二加密传输装置通过pcie接口连接，具体加密传输方法包括：

第一加密装置与第二加密装置建立网络连接后协定通信密钥，此时装置内预置国产密码算法等密钥包括并不限于设备认证密钥、设备公私钥、设备身份证书，渠道证书、处理中心公钥证书等信息。

当第一上位机需要向第二上位机发送数据时，第一上位机将待发送的数据下发至第一加密传输装置，第一加密传输装置将第一上位机的待发送数据加密后向第二上位机转发。

当第二上位机向第一上位机发送数据时，第一加密装置接收到第二上位机经第二加密装置加密后的密文后，第一加密传输装置将所述第二上位机发送的加密文件解密解密后上传至所述第一上位机。

实施例4

本实施例提供一种加密传输方法，第一上位机需要与多个目标上位机进行加密传输，例如第一上位机与目标1和目标2进行加密传输。

第一加密传输装置分别将目标1和目标2的通信密钥以及ip地址进行预存，并建立地址与通信密钥的映射表，如：目标1地址-通信密钥；目标2地址-密钥。

第一加密传输装置接收到第一上位机需要发送的数据包后，首先读取数据包目标地址，若目标地址在映射表中，则说明该数据包需要加密，从映射表中查找与目标地址对应的通信密钥，利用查找到的通信密钥进行加密，将加密后的数据包转发至目标地址；若目标地址不在映射表中，则该数据包无需加密直接转发至目标地址即可。

第一加密传输装置接收到加密数据包后，读取接收数据包的源地址，在映射表查找源地址对应的通信密钥，利用该通信密钥对数据包进行解密，将明文文件上传至第一上位机。

第一加密传输装置接收到明文数据包后，直接将明文数据包上传至第一上位机。

尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述，但本发明并不限于此。在不脱离本发明的精神和实质的前提下，本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换，而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。